OEA CyberWomen Challenge 2019: Final Internacional

Este 23 de septiembre se realizó en Santiago la final internacional del OEA Cyberwomen Challenge, donde 11 delegaciones de distintos países latinoamericanos compitieron para llevarse el preciado primer lugar. En esta ocasión, y siendo más cercanos a los CTF clásicos, el desafío aumentó su dificultad, siendo el equipo de Brasil el que se quedó finalmente con el primer lugar.

Como habíamos mencionado en nuestra nota anterior, el OEA CyberWomen Challenge es un desafío organizado por la Organización de los Estados Americanos (OEA), la embajada de Canadá, Trend Micro, junto al apoyo de otras entidades como el Ministerio del Interior y Telefónica.

El Workshop, que en esta ocasión se realiza en un simulador lúdico (en medio de un ambiente controlado) tiene como objetivo desarrollar las habilidades de mujeres  frente a un eventual ciberataque. Pero en esta ocasión, nos encontrábamos en la ‘Final Internacional’. Por ende, el desafío subió varios niveles, puesto que nos encontrábamos con los equipos ganadores de cada edición regional.

Dockers, dockers everywhere … and APIs

Si bien, en esta ocasión continúabamos defendiendo la empresa de Drones a la que aseguramos en la edición anterior, esta vez nos despedimos de la aplicación web ‘Deep Security’, para dar paso a “Deep Security API” que debíamos montar en los servidores de la empresa. Pero la dificultad no sólo quedaba ahí. También contábamos con varios Dockers que debíamos aprender a manejar, desde un servidor Linux Claramente para todas las que no habíamos trabajado con ellos fue un desafío mayor a enfrentar.

La historia comenzaba un año luego de los eventos que pasaron en la edición anterior. Esta vez seguíamos enfrentándonos a un intruso malicioso que quería complicar las cosas para la empresa que buscábamos defender.

Dejando de lado los desafíos criptográficos anteriores (que más que nada sólo servían para descifrar instrucciones en esta ocasión), tuvimos que hacer uso de habilidades como el scripting (que el desafío te guiaba a hacerlo en Python 3 – <3 – ), y muchos conocimientos de sysadmin, para poder llegar a encontrar los flags solicitados, que tendían a apuntar a nombres de máquinas, grupos de máquinas, nombres de políticas implementadas, Ids de distinta índole, etc.

El tema se complicó cuando comenzaron a aparecer los dockers; para mi un terreno 100% desconocido, por lo que nos llevó tiempo tomarle la mano. Pero el mayor desafío en esta ocasión fue una situación particular que simulaba de excelente forma lo que podía llegar a pasar en un ataque real: El atacante cortó todas las conexiones a los servidores, por lo que la única forma de poder seguir sacando información era metiéndose a los backups de éstos. Pero ¡Ojo! La cosa no era tan simple, ya que las credenciales de estos servidores se encontraban en otras flags que debieron ser sacadas antes de perder esta conexión.

Scoreboard previo a finalizar el evento.

Lamentablemente, para nosotras, sólo logramos sacar el acceso a uno de los servidores, por lo que no pudimos tomar las flags necesarias para el podio. De todas formas, la experiencia en esta ocasión se sintió mucho más realista, y las 7 hrs de desafíos fueron como si nada. 

Brasil, equipo ganador.

Me llevo un aprendizaje tremendo, y las ganas de seguir aumentando mis conocimientos en ciberseguridad. La invitación queda abierta a todas las mujeres ¡Anímense a participar en las futuras ediciones! 

Los resultados finales fueron:

1er lugar: Brasil
2do lugar: Panamá/República Dominicana
3er lugar: México
4to lugar: Chile

Todas las participantes del CTF.